Tham gia Đăng nhập
Điểm:1
Sheik avatar Server

Làm cách nào tôi có thể MASQUERADE giữa các cầu nối vlan

lá cờ us
Sheik

Tôi đã tạo hai cầu nối Vlan trong hệ thống dựa trên openwrt có giao diện vật lý duy nhất.

*) eth0->lan->br-lan
*) br-lan->br-lan.2(VLAN INTF)->br-vlan2(BRIDGE INTF)
*) br-lan->br-lan.20(VLAN INTF)->br-vlan20(BRIDGE INTF)

Tôi đang chạy một máy chủ DHCP bằng máy ubuntu.

Tôi đang cố định tuyến giữa các vlan để mở giao tiếp giữa các vlan. Nhưng tôi không thể thành công.

những gì tôi đã làm là

 iptables -t nat -I POSTROUTING -o br-vlan2 -j MASQUERADE

 iptables -A FORWARD -i br-vlan2 -o br-vlan20 -mstate --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN

 iptables -A FORWARD -i br-vlan20 -o br-vlan2 -j
 CHẤP NHẬN

 tiếng vang 1 > /proc/sys/net/ipv4/ip_forward

Và tôi đã thử cập nhật/etc/config/firewall với các quy tắc chuyển tiếp

vùng cấu hình
        tên tùy chọn 'vlan2'
        liệt kê mạng 'br-lan.2'
        tùy chọn đầu vào 'CHẤP NHẬN'
        đầu ra tùy chọn 'CHẤP NHẬN'
        tùy chọn chuyển tiếp 'CHẤP NHẬN'

vùng cấu hình
        tên tùy chọn 'vlan20'
        danh sách mạng 'br-lan.20'
        tùy chọn đầu vào 'CHẤP NHẬN'
        đầu ra tùy chọn 'CHẤP NHẬN'
        tùy chọn chuyển tiếp 'CHẤP NHẬN'

chuyển tiếp cấu hình
        tùy chọn src 'br-lan.2'
        tùy chọn dest 'br-lan.20'

chuyển tiếp cấu hình
        tùy chọn src 'br-lan.20'
        tùy chọn đích 'br-lan.2'

Có gì sai ở đây? Và tôi mới bắt đầu làm quen với các khái niệm về bộ định tuyến.

Chỉnh sửa:

Đây là cách thiết lập của tôi trông giống như

             IP: 192.168.2.10 192.168.20.10
             GW: 192.168.2.1 192.168.20.1
                   |khách hàng 1| |khách hàng 2|
                         ^ ^
                     ____|______________|______
                    | br-vlan2 | br-vlan20 |    
 _____________ |192.168.2.2 | 192.168.20.2 |   
| | |_____________|______________|
| 192.168.1.1 | | |br-lan IP: 192.168.1.2|
| bộ định tuyến |---->|eth0| GW: 192.168.1.1 |
|_____________| |____|_______________________|          
                    | máy x86 như AP |
                    |____________________________|
409
0 + 0
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Phần cứng thực chạy OpenWRT là gì và eth0 của nó được kết nối ở đâu? Tốt hơn nên loại bỏ br-lan và trực tiếp tạo các giao diện con VLAN từ eth0 (OpenWRT hầu như luôn được định cấu hình theo cách này). Ngoài ra, tại sao lại có nhiều cây cầu như vậy, bạn định đặt gì khác bên trong chúng? Sẽ không đơn giản hơn nếu chỉ gán IP trực tiếp cho các giao diện con Vlan đó và đặt chúng vào các vùng tường lửa?
0
Hồi đáp
Điểm:0
Nikita Kipriyanov avatar Server
lá cờ za
Nikita Kipriyanov

Bộ định tuyến OpenWRT thông thường thường có một giao diện Ethernet duy nhất trong CPU được kết nối bên trong với chip "công tắc thông minh". Các cổng khác của công tắc được cung cấp bên ngoài dưới dạng giắc cắm, một cổng thường được gắn nhãn là "WAN" và các cổng khác là "LAN". Công tắc được định cấu hình theo cách sau: liên kết CPU-switch là đường trục (tất cả các Vlan đều được gắn thẻ), một cổng ("WAN") được tạo thành một Vlan không được gắn thẻ và các cổng còn lại ("LAN") tạo thành các Vlan khác không được gắn thẻ. Về cơ bản, đây là thiết lập "bộ định tuyến trên một thanh" tiêu chuẩn, trong đó công tắc hoạt động như một bộ mở rộng cổng đơn giản cho bộ định tuyến có số lượng cổng thấp.

Phần còn lại trông giống hệt trường hợp của bạn, máy tính Linux có một giao diện Ethernet duy nhất. Để bổ sung cho thiết lập chuyển đổi, nó được chia thành các giao diện con Vlan. Sau đó, các giao diện phụ đó được định cấu hình theo chức năng của chúng: mạng LAN được đặt thành cầu nối với (các) giao diện WLAN, trong khi mạng WAN được định cấu hình không có cầu nối.

Thiết lập này giống như sau (eth0 là giao diện duy nhất của bộ định tuyến):

  • eth0 có hai giao diện con Vlan, .1 và .2
  • eth0.1 và wlan0 và wlan1 được kết hợp thành br-lan được gán địa chỉ IP và đưa vào vùng LAN
  • eth0.2 cũng được gán địa chỉ.

Trong trường hợp bạn thực sự cần cầu nối, đây là cách để thực hiện:

giao diện cấu hình 'vlan20'
        tùy chọn ifname 'eth0.20'
        loại tùy chọn 'cầu'
        tùy chọn proto 'tĩnh'
        tùy chọn mặt nạ mạng '255.255.255.0'
        tùy chọn ipaddr '192.168.20.1'

giao diện cấu hình 'vlan2'
        tùy chọn ifname 'eth0.2'
        loại tùy chọn 'cầu'
        tùy chọn proto 'tĩnh'
        tùy chọn mặt nạ mạng '255.255.255.0'
        tùy chọn ipaddr '192.168.2.1'

Điều này sẽ được dịch thành: Hai giao diện con VLAN sẽ được tạo ra từ eth0, và hai cây cầu được tạo ra, br-vlan20br-vlan2. Mỗi subinterface VLAN sẽ tham gia vào bridge riêng của nó. Bridges sau đó có IP được chỉ định.

Nếu bạn không cần cầu nối (ví dụ: bạn không định thêm các giao diện khác), chỉ cần xóa loại tùy chọn 'cầu' dòng từ định nghĩa.

Coi chừng, thiết bị ở phía bên kia của eth0 liên kết trong trường hợp này phải được chuẩn bị để xử lý các khung được gắn thẻ!

Thiết lập tường lửa cho trường hợp này có thể giống như sau:

vùng cấu hình
        tên tùy chọn 'zone20'
        tùy chọn đầu vào 'CHẤP NHẬN'
        đầu ra tùy chọn 'CHẤP NHẬN'
        tùy chọn chuyển tiếp 'CHẤP NHẬN'
        mạng tùy chọn 'vlan20'

vùng cấu hình
        tên tùy chọn 'zone2'
        tùy chọn đầu vào 'CHẤP NHẬN'
        đầu ra tùy chọn 'CHẤP NHẬN'
        tùy chọn chuyển tiếp 'CHẤP NHẬN'
        tùy chọn mặt nạ '1'
        mạng tùy chọn 'vlan2'

chuyển tiếp cấu hình
        tùy chọn src 'khu20'
        tùy chọn đích 'khu2'

chuyển tiếp cấu hình
        tùy chọn src 'khu2'
        tùy chọn đích 'khu20'

Chú ý cách vùng'S mạng tùy chọn trong tường lửa tương ứng với giao diệntên của trong mạng tập tin cấu hình. Tên giao diện Linux chỉ xuất hiện một lần trong mạng tập tin cấu hình và không nơi nào khác. chuyển tiếp'S srcdst tùy chọn, tuy nhiên, tương ứng với vùng'S Tên tùy chọn.

0 + 0
Sheik avatar
lá cờ us
Sheik
Cảm ơn @Nikita Tôi vừa định cấu hình máy x86 của mình làm Điểm truy cập không dây. Máy của tôi có thẻ ethernet và hai thẻ không dây và không có bất kỳ công tắc bên trong nào. Tôi vừa thử như bạn đề xuất tạo vlan từ giao diện eth và chuyển tiếp bằng tên vùng. Điều đó làm việc tốt. Nhưng yêu cầu của tôi là định tuyến giữa các cầu vlan. Tôi cần tạo vlan từ br-lan và sau đó bật định tuyến xen kẽ trong AP của mình. Tôi chỉ đang cố triển khai định tuyến xen kẽ dựa trên ứng dụng khách như một phần của một trong các tính năng AP của mình.
0
Hồi đáp
Sheik avatar
lá cờ us
Sheik
Xin chào @Nikita Kipriyanov Tôi vừa thêm thiết lập của mình cùng với câu hỏi. Trước đó tôi đã nói trường hợp của tôi không hoạt động và trường hợp của bạn đang hoạt động. Trên thực tế, cả hai trường hợp đều hoạt động khi tôi giữ cổng máy khách của mình làm cầu nối Vlan ip, nhưng AP của tôi hoạt động ở chế độ cầu nối rõ ràng là máy khách lấy bộ định tuyến làm cổng. để gói rời đi trước khi được chuyển tiếp. Hy vọng bạn hiểu kịch bản của tôi. Tôi cần định tuyến giữa các cây cầu trong AP. Đây là những gì tôi yêu cầu.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.